GPO(グループポリシーオブジェクト)の基本
GPOの適用対象
1.ドメイン
2.OU
3.サイト
※ユーザやPC個別は出来ない
GPO適用タイミング
コンピュータポリシー
1.PCの起動時
2.ドメインメンバー:90〜120分の間でランダム
ドメインコントローラ:5分間隔
ユーザポリシー
1.ユーザのログオン時
2.90〜120分の間でランダム
強制適用のコマンド
gpupdate /force
ループバック
特定のコンピュータにログオンしたときにだけ適用させたいユーザポリシーがある場合に使用。
▼補足
## 1. 適用対象と優先順位(LSDOU)
GPOには適用される順番があり、後に適用されたものが
優先(上書き)されます。このルールをLSDOUと呼びます。
1. Local(ローカル):PC本体の設定
2. Site(サイト):物理的な拠点ごと
3. Domain(ドメイン):ドメイン全体
4. OU(組織単位):部署やチームごと(これが最も優先度が高い)
補足: ご認識の通り、ユーザー個別の設定項目はありませんが、
「特定のユーザーだけに適用したい」場合は、OUを分けるか
「セキュリティフィルタリング」という機能を使って制限をかけるのが一般的です。
## 2. 適用の例外ルール
基本の順番(LSDOU)を無視して制御したい時に使う、2つの重要機能があります。
継承のブロック: 上位(ドメインなど)で設定されたポリシーを、特定のOUにだけは適用させたくない場合に使用します。
強制(Enforced): 下位のOUで「継承のブロック」がされていても、それを無視して強制的に適用させます。
## 3. 適用タイミングの補足
「90〜120分のランダム」という点についてですが、正確には
「90分 + 0〜30分のオフセット(遊び)」という計算です。
なぜランダムかというと、全クライアントPCがいっせいに
ドメインコントローラに通信しに行くと、ネットワークがパンクしてしまうのを防ぐためです。
## 4. ループバック処理の活用シーン
ループバックは少し理解が難しい部分ですが、以下のようなケースでよく使われます。
会議室の共有PC: 「誰がログオンしても、このPCではコントロールパネルを禁止にしたい」といった、
「場所(PC)」に紐づいた制限をユーザー設定にかけたい時に必須となります。
## 5. デバッグに役立つコマンド
`gpupdate /force` 以外に、現場で必ず使うコマンドを紹介します。
| コマンド | 用途 |
| `gpresult /r` | 現在どのGPOが適用されているか、コマンドプロンプト上で確認できます。 |
| `gpresult /h report.html` | 詳細な適用結果をHTMLファイルとして出力します(非常に見やすいです)。 |
| `rsop.msc` | 視覚的にどの設定が有効になっているかを確認できるツールを起動します。 |
[0回]
